• Usability & design
    wordt gesponsord door

Cookiewalls: waarom zijn ze terug en hoe bouw je ze slim op?

Waar moet je aan denken bij het voldoen aan de cookiewet?

Cookiewalls: waarom zijn ze terug en hoe bouw je ze slim op?

De sage over de nieuwe cookiewet kwam eind vorig jaar tot een voorlopig einde nadat de nieuwe cookiewet door de tweede kamer werd geaccepteerd. Sinds maart/april van dit jaar is de ACM begonnen met het actief handhaven van de wetgeving. Dat betekent dat je als website je nu toch echt aan de nieuwe wetgeving moet voldoen. En dat leidt tot de grootschalige terugkeer van een oude bekende: de cookiewall. Zoals bij Marketingfacts, zoals je wellicht hebt gemerkt.

De nieuwe cookiewet

Eerst even een korte recap. Het begon allemaal in 2012 toen er een akkoord kwam op de cookiewet, die per 1 januari 2013 van kracht zou gaan. Nadat websites in hoge mate cookiemuren optrokken, diende minister Kamp halverwege 2013 een voorstel tot wijziging in. Reden voor de wijziging was dat de cookiewet zijn doel voorbij was geschoten. In reactie op dit voorstel braken de meeste websites alvast hun cookiemuur af en gingen over op een veel minder interruptieve melding.

Daarna bleef het een tijdje stil, tot in oktober 2014 de nieuwe cookiewet werd geaccepteerd door de Tweede Kamer, en deze vanaf begin dit jaar werd gehandhaafd door de ACM. Het belangrijkste verschil tussen de oude en nieuwe wegeving is dat er geen expliciete toestemming hoeft te worden gevraagd en dat impliciete toestemming voldoende is. 

Wat is er veranderd?

1. Impliciete toestemming

In de wetswijziging staat dat websites niet hoeven te informeren over en toestemming hoeven te vragen voor cookies met geringe invloed op de privacy. De uitzondering is met name prettig voor het MKB, dat gebruikmaakt van analytics om geaggregeerd paginabezoek te meten. Die hoeven geen pop-up of banner meer te laten zien. Voor andere bedrijven biedt de wijziging ook soelaas, omdat de regering in de toelichting aangeeft dat toestemming ook gegeven kan worden door een handeling als doorsurfen, in plaats van de expliciete vink die de toezichthouders tot dan toe propageerden. Dus: ‘impliciete toestemming’ in plaats van ‘expliciete toestemming’.

2. Uitzondering voor cookies t.b.v. analytics, a/b-testing en affiliatemarketing

Met het van kracht worden van de gewijzigde cookieregels zijn nu ook cookies die ‘geen of geringe gevolgen hebben voor de persoonlijke levenssfeer van de consument/gebruiker’ en die gebruikt worden om informatie over de kwaliteit of effectiviteit van de website te verkrijgen, uitgezonderd van de toestemmings- en informatieverplichting. Dus analytics-cookies, a/b-testing cookies en affiliatecookies vallen nu ook onder het uitzonderingsregime.

Dus...

In een uitgebreid artikel op Marketingfacts geeft Jitty van Doodewaerd, compliance officer bij DDMA, tekst en uitleg over waar je nu wel en geen toestemming voor hoeft te vragen. Een korte samenvatting van het artikel, er moet toestemming gevraagd worden voor het plaatsen van:

  • Trackingcookies: cookies die surfgedrag van bezoekers vastleggen, om op basis hiervan gericht te adverteren.
  • Social plug-in trackingcookies: cookies t.b.v. social sharing-knoppen (Facebook Like, tweetbutton, etc).
  • Embedcookies: cookies t.b.v. embeds, zoals het embedden van een YouTube-video.
  • Analytische trackingcookies: indien een analyticscookie een unieke identifier bevat om groepen bezoekers te individualiseren en te benaderen.

Organisaties hoeven géén toestemming te vragen voor:

  • Functionele cookies die communicatie mogelijk maken of noodzakelijk zijn voor het leveren van de dienst
  • Analytics-, a/b-testing en affiliatecookies, tenzij deze ook gebruikt worden om profielinformatie van de gebruiker te verzamelen, dan geldt de uitzondering niet (en dat is bijna altijd het geval).

Google Analytics neemt een speciale plek in en mag alleen onder voorwaarden zonder toestemming van de webbezoeker geplaatst worden. Hiervoor moeten er wel een aantal aanpassingen gedaan worden. Wil je weten hoe je met Google Analytics kunt voldoen aan de cookiewet, download dan de handleiding ‘privacyvriendelijk instellen van Google Analytics’ van het CBP.

Hoe te voldoen aan de cookiewet?

Controleer welke cookies je website plaatst

Oké, en hoe ga je er nu mee aan de slag? Allereerst zul je moeten nagaan welke cookies je website plaatst. Je kunt hiervoor tools gebruiken als Cookie-Checker

Informatieplicht

Allereerst heb je te allen tijde een informatieplicht. Als website moet je de bezoeker zo volledig mogelijk informeren over de cookies die je plaatst. Denk aan het soort cookies dat wordt geplaatst, waarom je deze plaatst, voor welke domeinen en hoe de bezoeker hiermee akkoord gaat. Een uitgebreide uitleg over de informatieplicht lees je ook in het artikel 'ACM waarschuwt websites - maar hoe krijg je goede cookie-consent?'.

Scenario 1: je website plaatst alleen cookies waarvoor geen toestemming nodig is

Plaatst je website alleen cookies waar geen toestemming voor hoeft te worden gevraagd, dan hoef je de bezoeker alleen te informeren. Dit kan bijvoorbeeld in het privacystatement van je website. Gebruik je analyticscookies dan verwacht het CBP wel dat je dit middels een duidelijke cookiemelding of cookiebar doet.

Scenario 2: je website plaatst cookies waarvoor toestemming nodig is

Wanneer je cookies plaatst waarvoor toestemming gevraagd moet worden, moet de bezoeker van je website allereerst bij zijn eerste bezoek aan jouw website geïnformeerd wordt over de cookies die je website plaatst. Klikt hij of zij vervolgens op accepteren (expliciet) of surft hij of zij verder op je website (impliciet) dan is de toestemming gegeven en mag je cookies plaatsen. Grofweg zijn er 2 mogelijkheden:

  1. een 'light'-versie van je website waarbij cookies, waarvoor toestemming moet worden gevraagd, (nog) niet worden geplaatst;
  2. een cookiemuur.

'Light'-versie vs. cookiemuur

Bij een 'light'-versie wordt de website getoond, maar worden elementen waarvoor cookies moeten worden geplaatst uitgeschakeld. Het belangrijkste voordeel van deze methode is dat het de meest prettige gebruikservaring oplevert. Bezoekers worden niet lastiggevallen met een cookiemuur, maar krijgen direct de content waar ze naar op zoek waren. Bij een klik mag je vervolgens uitgaan van impliciete toestemming en cookies plaatsen.

Een nadeel van deze methode is dat het een soort ingebouwde adblocker kan worden. Met name websites met relatief veel unieke bezoekers die weinig pagina's per sessie bezoeken, is dit een issue. Een bounce (alleen lezen, geen verdere actie) resulteert immers niet in het geven van impliciete toestemming. Bij een relatief hoog percentage eenmalige bezoekers is het aandeel pageviews waar je geen advertenties mag tonen relatief groot.

Bij de meeste marketeers zal het idee van een cookiemuur inmiddels wel bekend zijn. Het is een soort 'interstitual' die bij het eerste bezoek wordt getoond. De cookiemuur heeft een negatief effect op de gebruikservaring.

Maar doordat veel websites reeds cookiemuren hebben opgetuigd, zijn veel bezoekers inmiddels wel gewend aan het concept van een cookiemuur. Uit diverse bronnen blijkt dat het gros van de bezoekers aan websites met een cookiewall de cookies accepteert. Bij Marketingfacts was dit ten tijde van de 'eerste cookiewet' 91 procent. Dit percentage valt nog laag uit omdat de cookiemuur toen een stuk minder bekend was en dat de techniek nog niet optimaal was. Wanneer een bezoeker van een website met een cookiemuur de cookies accepteert wordt er, ironisch genoeg, een cookie geplaatst zodat bij een volgend bezoek de cookiemuur niet meer getoond wordt. Vervolgens wordt de website op de normale wijze - dus inclusief cookies - geladen.

Het feit dat het aantal devices (smartphone, tablet, desktop, werk-laptop, console, e.d.) dat men per persoon gebruikt toeneemt, vergroot de negatieve gebruikservaring. Er moet immers op elk device toestemming worden gegeven. Een ander groot nadeel is dat je sommige 'bezoekers' geen cookiemuur wil laten zien. Wat te denken van de spider van Google? En die van Facebook, Twitter, LinkedIn, Google+, Buffer, etc...? Want als je iets deelt, wil je niet dat het er zo uit komt te zien:

Bovendien wil je niet dat Google op elke pagina de tekst van je cookiemuur gaan indexeren, maar gewoon de eigenlijk content. 

Marketingfacts 'kiest' voor cookiepoort

Voor Marketingfacts hebben we gekozen voor een cookiemuur - of een cookiepoort zo je wilt, want je moet er nog wel doorheen kunnen. De belangrijkste reden hiervoor is dat het technisch niet te doen is om een 'light'-versie van onze website te bouwen. Omdat we niet bij het inladen van een pagina kunnen vaststellen of er advertenties mét of zonder cookies zullen worden getoond via onze advertentieserver, zouden we bij elke eerste view de advertentieposities volledig moeten uitschakelen. Hetzelfde geldt voor de social sharing-knoppen. En voor embeds. 

Op het moment van schrijven beschikken we op Marketingfacts over zo'n 25.000 artikelen. In elk van deze artikelen kunnen embeds zitten, van YouTube en Vimeo tot Twitter, Facebook, Instagram, SlideShare, Scribd, DailyMotion, SoundCloud, Flickr, etcetera. Het is praktisch onmogelijk om al deze embeds op een juiste manier uit te schakelen zodat daarmee voldaan wordt aan de wetgeving.

Erik Klijn, die vanuit Mangrove de cookiewall heeft gemetseld:

Er zijn standaardscripts beschikbaar om cookies tot aan de toestemming uit te sluiten, zoals de Cookie Consent Kit. Hierbij wordt een stukje code geplaatst om een script dat cookies zet. Dit is prima te gebruiken op kleine websites, met een beperkt aantal uit te schakelen elementen.

Marketingfacts is een complexe samenvoeging van content, embeds, cms, plugins, advertenties, etcetera. Aan de site werken meerdere mensen samen met wisselende technische kennis. Het is al een klus om op de vaste plekken in de code uit te schakelen, maar het is moeilijk om deze oplossing ook op alle dynamische 'embedded content' in alle artikelen toe te passen. Elke redacteur wordt programmeur en moet eerst kijken of er bij een bron cookies worden gezet, en vervolgens code toevoegen om deze te beheren. 

Externe plugins in het CMS kunnen stukken code gebruiken die cookies zetten. Hier is ook controlecode aan toe te voegen, maar wat als er updates komen? Worden deze toevoegingen dan weer overschreven? De site cookievrij maken is dan één, zorgen dat de site vervolgens consequent cookievrij blijft lijkt nog wel moeilijker in een hybride model en vraagt om een heel gecontroleerde omgeving. Met de cookiepoort weten we zeker dat er geen cookies geplaatst zullen worden.

Frankwatching light

Collegablog Frankwatching heeft geprobeerd om met een 'light'-versie van de website aan de wetgeving te voldoen en een cookiemuur te voorkomen. Sanne van Let, verantwoordelijk voor techniek bij Frankwatching, legt uit hoe het dat heeft willen doen:

Ons internetbureau Haboes had een oplossing gebouwd die het mogelijk maakte om op de eerste pagina die een bezoeker bekijkt cookies tegen te houden en een cookiebar te tonen. Na akkoord of een doorklik binnen de site verdween de cookiebar en werden de cookies alsnog geplaatst.

Maar als er geen cookies geplaatst mogen worden, heeft dat voor een website twee essentiële gevolgen. Ten eerste kan er op de eerste pagina geen display advertising getoond worden omdat de hiervoor veelgebruikte tool ‘DoubleClick for Publishers’ ook gebruikmaakt van cookies. Een tweede gevolg is dat de social sharing-buttons niet zichtbaar meer zouden zijn, omdat deze standaard gebruikmaken van cookies om de aantallen shares op te kunnen halen. Daarom was ook een herbouw van de sharebuttons nodig, die ervoor zorgde dat deze zonder cookies toch goed zouden functioneren. Als een bezoeker nu op een sharebutton klikt, wordt hij naar het betreffende platform geleid, waar vervolgens pas de benodigde cookie gezet wordt.

Na deze acties dacht Frankwatching een heel eind te zijn met de cookie compliance. Maar vervolgens bleek dat artikelen met YouTube-video’s ook standaard cookies meekrijgen, en doken er her en der LinkedIn-cookies op. Daarbij kwam dat de wetgeving voor cookies ook voor scripts geldt. Sanne:

Dit betekent dat met alle partijen waarvan je een script op je website hebt staan, je een bewerkingsovereenkomt moet sluiten, waarin die partij verklaart dat script alleen te gebruiken voor analytische doeleinden. Wordt het script voor andere doeleinden gebruikt, dan moet ook dat script op de eerste pagina die een bezoeker bekijkt tegengehouden worden. Frankwatching maakt geen gebruik van retargetingscripts of andere gekkigheden, maar bijvoorbeeld wel van Cloudfront, New Relic en Gravatar. Ook voor het laten functioneren van een Twitter-widget zijn scripts nodig.

Hierdoor bleek het technisch en financieel onhaalbaar om een 'light'-versie op te tuigen:

De investeringen in concepting en development liepen hard op, terwijl de bannerinkomsten door de eerder genoemde beperkingen waren gehalveerd. Op dat moment hebben we de afweging gemaakt om toch de cookiewall voor de site te zetten, simpelweg omdat de andere route (van het een voor een opzoeken en tegenhouden van cookies, scripts en pixels) voor ons onbetaalbaar was en we geen andere keuze meer hadden. Het is erg jammer dat onze lezers hiervan de dupe zijn en dat het er ook op lijkt dat vrijwel alle uitgeverssites nu tot deze keuze moeten overgaan. Het Nederlandse internet is er beslist niet veiliger en zeker niet gebruiksvriendelijker door geworden. 

De huidige cookiewall van Frankwatching, die volgde op poging een 'light-versie' van de site te implementeren

De terugkeer van de cookiewall (of -poort)

Bovenstaande argumentatie verklaart de massale terugkeer van de cookiewall in de laatste maanden, vooral bij uitgevers. Jitty van Doodewaerd van DDMA bevestigt deze ontwikkeling:

Bij de start van de handhaving heeft toezichthouder Autoriteit Consument en Markt (ACM) een flink aantal websites aangeschreven over het gebruik van cookies. Overigens gaat het daarnaast ook om webbeacons, waarmee scripts bedoeld worden die op je site geplaatst worden door derden. Denk aan trackingpixels voor conversie-attributie, maar ook aan cookies die afkomstig zijn van embedded content van social media.

Juist uitgevers zijn qua verdienmodel afhankelijk van derde partijen en daarmee van third-party cookies - die website moet toch gefinancierd worden. En omdat ze ook relatief vaak gebruikmaken van embeds en dergelijke, kunnen ze niet garanderen dat er tijdens een bezoek niets geplaatst wordt voorafgaande aan de impliciete toestemming. De meeste uitgevers nemen liever geen risico en worden daarmee als het ware gedwongen hun cookiewalls weer op te trekken.

Een belangrijke factor hierbij is de analytics-cookie. De toezichthouder is erg alert op het gebruik daarvan, omdat daarbij sprake kan zijn van een breder gebruik dan is toegestaan bij impliciete toestemming, aldus Van Doodewaerd.

Een voorbeeld daarvan is de NPO. "Zij gebruiken een analytics-cookie van comScore om het mediabereik te meten. In die cookie is sprake van een unique identifier om het mediabereik over meerdere site te meten. In principe is het mogelijk om op basis van die identifier getargete content aan te bieden. Dat deden ze niet (of misschien: nog niet), maar het College bescherming persoonsgegevens, Cbp, zag het toch als inbreuk op de privacy en stelde dat toestemming nodig is.

De werking van de cookiemuur op Marketingfacts

De cookiemuur van Marketingfacts is gebouwd door ons webbureau Mangrove. Naast dat er voldaan moet worden aan de informatieplicht is het belangrijk dat bezoekers in een oogopslag kunnen zien waar ze moeten kunnen klikken om de cookies te accepteren en door te gaan naar de website. Een tweede uitdaging was om spiders uit te sluiten zodat webpagina's niet onjuist geïndexeerd worden.

Om aan dat laatste te voldoen zijn er de volgende stappen aangebracht in de cookiepoort:

  1. Op basis van geo-filtering worden bezoekers uit andere landen uitgesloten.
  2. De automatische botdetectie sluit bots, spiders en crawlers die zich als zodanig identificeren in de user agent string uit van de cookiepoort en worden gewhitelist.
  3. Een check op basis van een whitelist van online diensten die we handmatig hebben vastgesteld en die op basis van IP ranges worden uitgesloten. De informatie hiervan wordt ook gebruikt om de automatische botdetectie te verbeteren.

Als een bezoeker niet wordt uitgefilterd, wordt de cookiepoort getoond. De bezoeker wordt doorverwezen en de opgevraagde pagina wordt met de URL meegestuurd. Bijvoorbeeld: http://www.marketingfacts.nl/cookies/?s=/berichten/waarom-bellen-mijn-klanten-zo-vaak

Om diensten die Marketingfacts willen indexeren en op de cookiepoort stuiten toch zo goed mogelijk hun werk te laten doen, is er nog een aantal maatregelen genomen:

  1. De doorverwijzing naar de cookiepoort verloopt via een 302-redirect - een tijdelijke doorverwijzing. Wanneer de doelpagina al is geïndexeerd, weet de dienst in kwestie dat hij deze niet moet overschrijven met informatie van de cookiepoort.
  2. Mocht de 302-redirect niet worden opgepakt, dan heeft de cookiepoort een canonical-tag met daarin de url van de pagina die de bezoeker opvroeg. Daarmee weet de dienst dat de originele content op die url terug te vinden en dat het niet de meta-informatie van de cookiepoort moet indexeren.
  3. Mocht iemand de url van de cookiepoort delen (bijvoorbeeld http://www.marketingfacts.nl/cookies/?s=/berichten/waarom-bellen-mijn-klanten-zo-vaak), dan bevindt zich ook op die webpagina een check die kijkt of er reeds een cookie geplaatst is en wanneer dat zo is wordt de bezoeker doorgestuurd. Middels de canonical-tag wordt bovendien voorkomen dat deze pagina wordt geïndexeerd.

Om tot deze whitelist te komen, zijn we enige tijd terug al begonnen met het loggen van Nederlandse ip-adressen in combinatie met de user agent. Hiermee hebben we alvast data opgebouwd om IP's te identificeren die vaak terugkomen. Nu monitoren we alleen nog op IP-adressen die vaak blijven terugkomen op de cookiepoort, maar geen akkoord geven. Mogelijk vinden we hier nog crawlers om te whitelisten. Deze log wordt overigens automatisch na een paar dagen automatisch gewist.

Credits afbeelding: Marjan Lazarevski, licentie: CC BY-ND (Commercieel hergebruik)

Delen

0
2


Er zijn 16 reacties op dit artikel

  • Ik vraag me af in hoeverre een cookiemuur een bijdrage levert aan de kennis en bewustheid bij bezoekers over het gebruik van cookies. Hoewel ik geen cijfers heb om dit te onderbouwen, denk ik dat veel bezoekers snel op accepteren drukken met het idee "ik moet klikken om door te gaan".

    geplaatst op
  • @Arash Dat vraag ik me ook af. Het wekt vooral veel irritatie.

    geplaatst op
  • Na aanleiding van een vraag van Matthijs Roumen heb ik een update gedaan van de alinea 'Hoe te voldoen aan de cookiewet?'. Ik heb wat duidelijker uiteengezet wat de situatie is als je wel cookies plaatst, maar alleen cookies waarvoor geen toestemming noodzakelijk is. In dat geval hoef je dus geen toestemming te vragen en heb je alleen informatieplicht. Dat kan in een privacystatement. Plaatst je website cookies voor analytics, en/of wil je het netjes doen, dan moet je de bezoeker duidelijk informeren via een cookiebar of cookiemelding.

    geplaatst op
  • Heb me enorm verbaasd over die terugkeer van de cookiewalls tot we ons er zelf weer in moesten verdiepen inderdaad. Maar de vraag dringt zich nu natuurlijk wel weer op: als de eerste golf aan cookiewalls als contraproductief werd ervaren door de Tweede Kamer, gaat dat dan niet ook gebeuren bij deze tweede golf? Oftewel: kunnen we binnenkort weer een cookie(wall)debat verwachten?

    Jitty, heb jij daar zicht op?

    geplaatst op
  • Bedankt voor de inzichten Danny (en Mangrove). Leuk om te zien hoe jullie dit vanuit een publisherperspectief beleven en aanpakken.

    Wat me opvalt aan de hele cookie-ontwikkeling van de afgelopen tijd is dat de grote sites nu allemaal dit soort dingen aan het optuigen zijn. Er komt best wat complexe kennis bij kijken met scripts en redirects en uitzonderingen en checks en tagmanagers. En om dat goed op te tuigen moet je dus een webbouwer of webanalytics-club hebben die dat snapt en kan zonder dat je al je posities in Google kwijt raakt. En dat kost best wat tijd en geld.

    Maar het (Nederlandse) internet bestaat voor een heel groot deel uit kleine sites. Websites van 1 of een handjevol mensen die in wordpress of op een ander CMS een site runnen met een paar duizend bezoekers per maand.

    Dat soort sites hebben over het algemeen te weinig kennis en te weinig inkomsten om een club in te huren die zo'n cookiewall vol scripts, redirects en uitzonderingen te bouwen. Maar die sites zijn voor hun bescheiden inkomsten juist wel vaak afhankelijk van adsense en social sharing. Daarmee ontstaat een situatie dat de groten aan de cookiewet kunnen voldoen en de kleinen (waar de innovatie en vooruitgang vaak zit) niet. En die kleintjes voelen de hete adem van de AFM in hun nek, maar weten niet hoe ze moeten voldoen.

    Het wachten is dan ook op iemand die deze scripts op een eenvoudige manier beschikbaar maakt voor iedereen met een kleine site. In de vorm van een handleiding inclusief alle scripts, of een plugin voor wordpress. Desnoods met een verdienmodel boven de 10.000 bezoekers per maand oid.

    Heeft iemand al zo'n oplossing gezien? Of is er iemand die de kans grijpt om dat te ontwikkelen?

    geplaatst op
  • @Bram: Terechte vraag van je. Ik denk niet dat iemand van de Kamer zich nog aan de cookies wil branden. Ik geloof dat zij na de wederopstanding van de cookiewall wel eens gevraagd zijn wat ze hier nu van vinden, maar dan zeggen ze dat sites de uitzondering niet begrijpen of zoiets. Wat wel aardig is om in de gaten te houden is dat Europa alweer een voorprong neemt op het herzien van de E-privacy Richtlijn, hierover start september een consultatie. Ter voorbereiding hebben ze een onderzoek laten uitvoeren en de onderzoekers bevelen aan de Nederlansde uitzondering voor analytics cookies over te nemen en dan expliciete toestemming te vragen voor tracking cookies. Dan begint de ellende mogelijkerwijs weer opnieuw, zie ook hier... https://ddma.nl/ddma-nieuws/europese-commissie-cookiewet-moet-weer-op-de-schop/

    geplaatst op
  • Leuk om te lezen!

    Ik ben vooral benieuwd in hoeverre de controle daadwerkelijk wordt uitgevoerd. Gaat dit ook bij de MKB sites gebeuren of alleen de grote jongens zoals Geen Stijl onlangs? En zo ja: gaat men gelijk over tot boetes bij een lokale, kleine, ondernemer? Ik blijf het lastig vinden...

    geplaatst op
  • 'Het belangrijkste verschil tussen de oude en nieuwe wetgeving is dat er geen expliciete toestemming hoeft te worden gevraagd'.

    Dit klopt niet. Dit was namelijk altijd al zo. De toezichthouders hielden er alleen een te strenge interpretatie van de vorige wet op na. De minister voelde zich genoodzaakt om ze in de toelichting bij de nieuwe wet terug te fluiten.

    De interpretatie van de toezichthouder is trouwens ook de oorzaak van het ontstaan van cookiewalls. De wet(sgeschiedenis) zegt heel duidelijk dat de partij die werkelijk plaatst/uitleest verantwoordelijk is voor informeren en toestemming verkrijgen. Dat is soms de website zelf, maar vaak een derde partij. Uit praktische overwegingen zal de website vaak wel namens derde partijen informeren en toestemming verkrijgen, maar de verplichtingen liggen dus echt bij die partij. Toch legt ACM de informatieplicht en toestemmingsvereiste voor alle cookies, dus ook die van derden, volledig bij websiteaanbieders. Dit blijkt onder meer uit de waarschuwing die ze naar Geen Stijl hebben gestuurd.

    Websiteaanbieders hebben uiteraard weinig trek in boetes van 450.000 euro per overtreding (niet informeren en geen toestemming vragen zijn twee verschillende overtredingen!). Zij kiezen voor alle zekerheid dan maar voor een cookiemuur.

    In mijn ogen is deze interpretatie van de ACM niet alleen juridisch onjuist, maar vooral ook schadelijk voor het privacybewustzijn van internetters, die zo geen idee hebben welke (internationale)partijen werkelijk inzicht hebben in hun surfgedrag. Uit de Europese cookiesweep van vorige zomer bleek dat zo'n 70% van de cookies die zijn geplaatst na bezoek aan een commerciële website afkomstig is van derde partijen. Als iedereen ervan uitgaat dat ze de website toestemming geven, zonder zich bewust te zijn van die derden aan wie zij -voor alle volgende websites- toestemming geven, wordt dit nooit goed duidelijk.

    geplaatst op
  • Hi Miranda,

    Ik ben geen jurist, dus ik weet niet alle fijne regeltjes, maar wat ik wél weet is dat in de nieuwe cookiewet er in de toelichting duidelijk is vermeld dat het gaat om impliciete toestemming. Je hebt gelijk dat in de vorige cookiewet niet expliciet stond dat expliciete toestemming noodzakelijk was, maar zo is het wel uitgelegd door de handhavende instanties.

    Je hebt ook gelijk dat volgens de wet de partij die de cookies plaatst toestemming moet vragen. Wanneer de ACM echter de informatieplicht en toestemmingvereiste bij ons als uitgever neerlegt, dan zijn we toch genoodzaakt daaraan te voldoen.

    Bovendien lijkt de letterlijke interpretatie mij onwerkbaar (nog onwerkbaarder dan de vrije interpretatie :-)). Hoe zou dat er immers uitzien? De cookies worden geplaatst bij een bezoek aan Marketingfacts.nl. Dan zijn er 2 mogelijkheden: of de bezoeker heeft vooral bij de derde partij toestemming gegeven, niks aan de hand.

    Maar is dat niet gebeurd, dan blijven er 2 mogelijkheden over: of je moet op dat moment toestemming geven, of je plaatst de cookies niet. In het laatste geval betekent het dat je advertenties bijvoorbeeld niet kan tonen, dat is onwenselijk. Het eerste is ook onwenselijk, want dan zou elke advertentiepartij apart toestemming nodig hebben. Ik zie alle popups al voor me, nee dankje.

    geplaatst op
  • Hoe je dat in praktische zin moet oplossen weet ik ook nog niet zo. Internetgebruikers zouden waarschijnlijk van harte bereid zijn op een centrale site alle cookieplaatsende derden (advertentienetwerken, social media) tegelijk toestemming te geven, als dat zou betekenen dat ze niet meer voortdurend pop ups moeten wegklikken. In de pop ups van websites kan misschien een tijdlang een link naar zo'n pagina komen, zo van: 'wil je dit soort meldingen niet meer zien, ga dan naar...'. Daar moet dan wel duidelijk uitgelegd worden dat toestemming betekent toestemming voor meerdere sites tegelijk. Als websiteaanbieder ben je volgens de wetgever trouwens medeplichtig als je weet dat derde partijen die jouw website als platform gebruiken de cookiewet overtreden en die situatie laat voortduren. Het initiatief moet dus wel liggen bij die derde partijen. Dat de websiteaanbieder moet meewerken aan naleving van de cookiewet door derden vind ik ook niet onredelijk. Maar dat blijft iets heel anders dan de volledige verantwoordelijkheid primair neerleggen bij de websiteaanbieder.

    geplaatst op
  • Wat mij verbaast aan de nieuwe cookie walls is dat je alleen de keuze hebt om te accepteren of meer te lezen. Je kunt de cookies dus niet afwijzen. Terwijl dat nou juist is wat veel mensen willen, lijkt mij. Op deze manier is het geen echte keuze die wordt geboden.

    geplaatst op
  • @Erik: volgens mij legt Danny onder het kopje "'Light'-versie vs. cookiemuur" helder uit wat de afweging daarbij is: een light-versie van de site (dus zonder cookies toch zo veel mogelijk tonen) is niet in het voordeel van de uitgevers (zoals Marketingfacts).

    geplaatst op
  • @Bram Dat snap ik, maar is het niet de bedoeling van de wet dat bezoekers kunnen kiezen of ze wel of niet aan cookies worden blootgesteld? Zouden sites dan niet moeten melden, naast de knop "Akkoord" de tekst: "Als u geen cookies wenst, dan moet u onze website niet bezoeken, want het is voor ons te veel werk om een cookievrije site naast onze normale site aan te bieden"? Het komt hard over maar wel eerlijk.

    geplaatst op
  • @Erik: dat is vast de bedoeling. Alleen blijkt het in de praktijk totaal niet uitvoerbaar om een website te maken zonder cookies. Dat hebben meerdere instanties geprobeerd duidelijk te maken aan de politiek, maar dat kwam niet echt aan.

    En die tekst die je noemt, staat er niet letterlijk. Maar volgens mij laten de huidige opties ook aan duidelijkheid weinig te wensen over.

    geplaatst op
  • @Bram Dan verschillen we duidelijk van mening over wat duidelijk is. Ik vind de opties "Ja, ik accepteer cookies" en "Meer informatie over het privacy- & cookiebeleid van Marketingfacts" nou bepaald niet precies hetzelfde als "Ja, ik accepteer cookies" en "Nee, ik accepteer geen cookies", waarna je mensen bijvoorbeeld door kunt leiden naar een cookievrije platte html-pagina. Verder vraag ik me af, aangezien jij ook vindt dat dat vast de bedoeling is van de wet, waarom dat dan niet gebeurt en of al die sites die deze nee-knop niet opnemen dan niet alsnog in overtreding zijn.

    geplaatst op
  • @Erik: overtreding? Hoe zouden we in overtreding zijn? We waarschuwen mensen van tevoren (informatieverplichting) en vragen expliciete toestemming (toestemmingsverplichting). Dus we zijn volkomen legaal.

    En volgens mij hebben zowel Danny als ik zojuist duidelijk uitgelegd waarom we geen cookievrije pagina's aanbieden: het is niet werkbaar, niet uitvoerbaar. Lees vooral het stukje van onze Frankwatching-collega's in dit artikel er nog even op na: zij hebben heel veel moeite gedaan om een light-versie van de website te maken en moesten uiteindelijk toch terugvallen op de cookiemuur. Een citaat:

    "De investeringen in concepting en development liepen hard op, terwijl de bannerinkomsten door de eerder genoemde beperkingen waren gehalveerd. Op dat moment hebben we de afweging gemaakt om toch de cookiewall voor de site te zetten, simpelweg omdat de andere route (van het een voor een opzoeken en tegenhouden van cookies, scripts en pixels) voor ons onbetaalbaar was en we geen andere keuze meer hadden."

    Veel duidelijker dan dat kan ik het helaas niet maken voor je.

    geplaatst op

Plaats zelf een reactie

Log in zodat je (in het vervolg) nóg sneller kunt reageren

Vul jouw naam in.
Vul jouw e-mailadres in. Vul een geldig e-mailadres in.
Vul jouw reactie in.

Herhaal de tekens die je ziet in de afbeelding hieronder


Let op: je reactie blijft voor altijd staan. We verwijderen deze dus later niet als je op zoek bent naar een nieuwe werkgever (of schoonmoeder). Reacties die beledigend zijn of zelfpromotioneel daarentegen, verwijderen we maar al te graag. Door te reageren ga je akkoord met onze voorwaarden.